Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 3 subscribers
  • Views 1928 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

What's the Secret?

wtf
I have a rule of ANY ANY ANY ALLOW set and I can only get out using HTTP because I'm using the proxy. Did I miss something? What do I need to do to start opening up ports to the internal network?  


This thread was automatically locked due to age.
  • 0
    ok in the web proxy if you ahve it set to anything other than tranparent you have to point every client machine to the portlisted in webadmin..the easiest way to setup the proxy is to setthe http proxy to transparent..that should fix your problem..[[:)]]  Also make sure http https ftp are all set in the allowable services..under allowed networks set it to internal_network then remove everything else save it then try again..[[:)]]
  • 0 in reply to William Warren
    On the one hand you say you're not getting out, but on the other you talk about opening ports to the internal network. Which is it? Get out or in?

    Assuming you want to get out, did you do your masquerading rules?
      
  • 0
    the buzzword seems to be masquerading

    read u
    o|iver
  • 0 in reply to William Warren
    OK. I changed it to transparent but nothing changed. I had Astaro before for about 9 months and I never had to do this the first time. It stopped working and I lost the root password so I had to re-install. Now it seems like it doesn't work the same way. I never did any masquarading or even proxy before.

    It seems like not matter what I do the firewall blocks me (except for port 80 and some people can use email.

    What are masquarade rules? Are they different from packet filter rules?   
  • 0 in reply to SecApp
    The main thing I want to do is get out for now and prevent anything unwanted from coming in.  
  • 0 in reply to wtf
    Setup Masquerading (on the NAT pages) to NAT all Internal networks to your EXT address.
     
  • 0 in reply to BarryG
    by doing this, it will let any traffic come in if you are concerned about that. 
  • 0 in reply to wtf
    "What are masquerade rules for?"

    IF you are using a private network numbering on your LAN (172.'s, 192.'s, 10.'s...), by mandate of Internet RFC, these will not be routed by the routers of the Internet. Those numbering conventions tell the Internet routers that those packets are intended for private networks only; you can think of it as a safety net for making sure your private network is not 'leaking' onto the Internet, but it has also been used as a trick to insure that we would not run out of IP addresses, since everything must have an address, but there weren't enough public numbers to go around -so we reuse the same private numbers on our LANs since eveybody's computers don't have to be exposed to the Internet at the same time.

    The masquerade action transparently translates the privately numbered network IPs to publicly numbered addresses (as is used by your "external" Firewall interface) as they are leaving your firewall; and renumbers them back to private as packets return to the firewall's interior. Without the masquerade function, you would have to make sure that each person on your LAN used a unique "real" Internet address (a most expensive proposition until we go IP6). So now you can plop a network printer down on your LAN without having to buy an IP for it. The smaller pool of "real" IPs managed by your firewall is shared among devices on your LAN as needed, the real IP's being allocated for LAN nodes whenever a device needs to venture out to the Internet.

    Stupid 2600 trick: after you get your masquerade rules working, visit the web site www.whatismyip.com. Well, it's not your ip, but the firewall's...

    So when you do not have a masquerade rule and the source network numbers of the packets are not in the range that your ISP supports for routing, your ISP's routing device ignores them.

    P.S. ISPs slip up from time to time and DO route private network numbered packets, but they won't get far on the Internet; but that's another story...
           
  • 0 in reply to SecApp
    So whats the difference between having the Masq rule setup like this:

    Masq_Rule:     Internal_Network__ -> All / All   MASQ__External     None

    vs this:

    Masq_Rule:     Any -> All / All   MASQ__External     None  

    Which would offer the greatest security for a home network?  I'm guessing the first one?    
  • 0 in reply to Jhaislet
    Do the first one.  That line says to:
    Masq all traffic from the internal net going out the external interface.  On the internet everything appears to come from that interface as it should.

    Now, you need to get someone to help you out personally.  Your first post says "ANY ANY ANY ALLOW".  Wrong, no need for a firewall with that one.

    The simplist set-up would have two key parts:

    Packet_Rule: Internal_Network__ ->Any   Any   Allow 
    Masq_Rule: Internal_Network__ -> All / All MASQ__External None

    That gets you out and blocks the basics coming in.  Better to add specific filters Before the Allow rule to get rid of the endless Microhard/soft worm traffic from the logs and to block the internet from getting your viruses and maybe prevent some exploits traviling on other things you might run.